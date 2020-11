2.13 , Аноним ( 13 ), 14:29, 10/11/2020 [^] [^^] [^^^] [ответить] +1 + / – Пока существует npm в нынешнем виде. Еще неизвестно сколько ты оттуда уже вытянул троянов, но не знаешь об этом.

3.15 , Аноним ( 15 ), 14:41, 10/11/2020 [^] [^^] [^^^] [ответить] + / – Какие есть альтернативы и решения лучше? Проблема зависимостей зависимостей ни кем не решена. Да и вообще всё что сказано про npm также относится и к pip, autoconf, crate. Разве что в C++ чтобы что-то поставить можно потратить пару часов. Но это такая себе защита.

4.17 , Аноним ( 13 ), 14:47, 10/11/2020 [^] [^^] [^^^] [ответить] –1 + / – Эпл стор. Точно такие же дополнения для телефона как и дополнения для джаваскрипт. Только в эпл сторе почему-то нет троянов которые прикидываются дллками для других приложений.

5.23 , НяшМяш ( ok ), 15:21, 10/11/2020 [^] [^^] [^^^] [ответить] +1 + / – В принципе 100$ это хорошая плата за входной билет. Всех кто не заплатил - удалять. /s

5.25 , Аноним ( 25 ), 15:29, 10/11/2020 [^] [^^] [^^^] [ответить] +3 + / – > Только в эпл сторе почему-то нет троянов Там скоро вообще ничего оне будет. Возможно, даже браузеров. https://habr.com/ru/news/t/527182/

4.29 , Dzen Python ( ok ), 15:41, 10/11/2020 [^] [^^] [^^^] [ответить] +2 + / – Построение репозиториев лунтикса, где у каждого пакета есть как минимум ответственный доверенный сопровождающий (известный по своему реальному ФИО и с которым можно в любое время связаться) и минимальное тестирование (аур и другие помойки - не в счет, хотя даже там есть понятие как TU)?

4.44 , Аноним ( 44 ), 18:02, 10/11/2020 [^] [^^] [^^^] [ответить] +1 + / – > всё что сказано про npm также относится и к pip, autoconf, crate. autoconf-то каким боком? Он ниоткуда зависимости не выкачивает. И вообще ничего не выкачивает.

4.47 , YetAnotherOnanym ( ok ), 18:42, 10/11/2020 [^] [^^] [^^^] [ответить] + / – > Проблема зависимостей зависимостей ни кем не решена Решена теми, кто хочет решать. Если установщик допускает прибитие гвоздями верифицированной версии (как это есть, например, в rebar), то разраб может проверить работоспособность и отсутствие бяк в определённых версиях зависимостей и прописать в конфиге установщика версию и её хэш для каждой зависимости.

5.54 , Аноним ( 25 ), 19:34, 10/11/2020 [^] [^^] [^^^] [ответить] + / – > Если установщик допускает прибитие гвоздями верифицированной версии В npm так и есть, но новость о другом.

5.56 , Likern ( ? ), 19:56, 10/11/2020 [^] [^^] [^^^] [ответить] +1 + / – Т.е. тоже самое, что и в npm?